Area di progettazione: Governance di Azure

  • Articolo

Usare la governance di Azure per stabilire gli strumenti necessari per supportare la governance del cloud, il controllo della conformità e le protezioni automatizzate.

Revisione dell'area di progettazione

Ruoli o funzioni: la governance di Azure ha origine dalla governance del cloud. Potrebbe essere necessario implementare la piattaforma cloud o un centro cloud di eccellenza per definire e applicare determinati requisiti tecnici. La governance è incentrata sull'applicazione di operazioni e requisiti di sicurezza, che potrebbero richiedere la sicurezza cloud, l'IT centrale o le operazioni cloud.

Ambito: prendere in considerazione le decisioni relative all'identità, alla rete, alla sicurezza e alle revisioni dell'area di progettazione della gestione. Il team può confrontare le decisioni di revisione della governance automatizzata, che fa parte dell'acceleratore di zona di destinazione di Azure. Le decisioni di revisione consentono di determinare cosa controllare o applicare e quali criteri distribuire automaticamente.

Fuori ambito: la governance di Azure stabilisce la base per la rete. Ma non riguarda i componenti correlati alla conformità, ad esempio sicurezza di rete avanzata o protezioni automatiche per applicare decisioni di rete. È possibile affrontare queste decisioni di rete quando si esaminano le aree di progettazione della conformità correlate alla sicurezza e alla governance. Il team della piattaforma cloud deve soddisfare i requisiti di rete iniziali prima di affrontare componenti più complessi.

Nuovo ambiente cloud (greenfield): per iniziare il percorso cloud, creare un piccolo set di sottoscrizioni. È possibile usare i modelli di distribuzione Bicep per creare le nuove zone di destinazione di Azure. Per altre informazioni, vedere Zone di destinazione di Azure Bicep- Flusso di distribuzione.

Ambiente cloud esistente (brownfield): se si vogliono applicare principi di governance di Azure comprovati agli ambienti Azure esistenti, tenere presente le indicazioni seguenti:

  • Stabilire una baseline di gestione per l'ambiente ibrido o multicloud.

  • Implementare le funzionalità di Gestione costi Microsoft, ad esempio ambiti di fatturazione, budget e avvisi, per assicurarsi di non superare il limite di spesa.

  • Usare Criteri di Azure per applicare protezioni di governance nelle distribuzioni di Azure e attivare le attività di correzione per portare le risorse di Azure esistenti in uno stato conforme.

  • È consigliabile usare la funzionalità di gestione entitlement di Microsoft Entra per automatizzare i flussi di lavoro delle richieste di accesso di Azure, le assegnazioni di accesso, le verifiche e la scadenza.

  • Usare le raccomandazioni di Azure Advisor per garantire l'ottimizzazione dei costi e l'eccellenza operativa in Azure, entrambi principi fondamentali del framework microsoft Azure Well-Architected.

Il repository bicep- Flusso di distribuzione delle zone di destinazione di Azure contiene modelli di distribuzione Bicep che possono accelerare le distribuzioni di aree di destinazione di Azure greenfield e brownfield. Questi modelli hanno integrato le linee guida per la governance delle pratiche comprovate di Microsoft.

Prendere in considerazione l'uso del modulo Bicep per le assegnazioni di criteri predefinite della zona di destinazione di Azure per iniziare a garantire la conformità per gli ambienti Azure.

Per altre informazioni, vedere Considerazioni sull'ambiente Brownfield.

Panoramica dell'area di progettazione

Il percorso di adozione del cloud dell'organizzazione inizia con controlli avanzati per gli ambienti governativi.

La governance offre meccanismi e processi per mantenere il controllo sulle piattaforme, sulle applicazioni e sulle risorse in Azure.

Diagramma che mostra la progettazione della governance della zona di destinazione.

Esplorare le considerazioni e i consigli seguenti per prendere decisioni informate durante la pianificazione della zona di destinazione.

L'area di progettazione della governance è incentrata sulle decisioni di progettazione per la zona di destinazione. Per informazioni sui processi e sugli strumenti di governance, vedere Governance in Cloud Adoption Framework per Azure.

Considerazioni sulla governance di Azure

Criteri di Azure consente di garantire sicurezza e conformità per gli immobili tecnici aziendali. Criteri di Azure può applicare convenzioni di gestione e sicurezza vitali nei servizi della piattaforma Azure. Criteri di Azure integra il controllo degli accessi in base al ruolo di Azure, che controlla le azioni per gli utenti autorizzati. Gestione costi può anche aiutare a supportare i costi di governance e le spese in corso in Azure o in altri ambienti multicloud.

Considerazioni sulla distribuzione

I consigli di revisione delle modifiche possono ostacolare l'innovazione e l'agilità aziendale dell'organizzazione. Criteri di Azure sostituisce tali revisioni con protezioni automatiche e controlli di conformità per migliorare l'efficienza del carico di lavoro.

  • Determinare i criteri di Azure necessari in base ai controlli aziendali o alle normative di conformità. Usare i criteri inclusi nell'acceleratore di zona di destinazione di Azure come punto di partenza.

  • Usare gli esempi di progetto basati sugli standard per prendere in considerazione altri criteri che potrebbero rispondere ai propri requisiti aziendali.

  • Applicare convenzioni di rete, identità, gestione e sicurezza automatizzate.

  • Usare le definizioni dei criteri per gestire e creare assegnazioni di criteri e riutilizzarle in più ambiti di assegnazione ereditati. È possibile avere assegnazioni centralizzate di criteri di base per gli ambiti di gestione, sottoscrizione e gruppo di risorse.

  • Incorporare report di conformità e controllo per garantire la conformità continua.

  • Comprendere che Criteri di Azure presenta limiti, ad esempio la restrizione delle definizioni in un ambito specifico.

  • Comprendere i criteri di conformità alle normative, ad esempio HIPAA, PCI-DSS o SOC 2 Trust Services Criteria.

Considerazioni sulla gestione dei costi

  • Prendere in considerazione la struttura del modello di costo e ricarica dell'organizzazione. Determinare i punti dati chiave che comunicano accuratamente la spesa per i servizi cloud.

  • Scegliere la struttura dei tag adatta al modello di costo e ricaricamento per tenere traccia della spesa cloud.

  • Usare il calcolatore prezzi di Azure per stimare i costi mensili previsti per l'uso dei prodotti Azure.

  • Ottenere Vantaggio Azure Hybrid per ridurre i costi di esecuzione dei carichi di lavoro nel cloud. È possibile usare le licenze di Windows Server e SQL Server locali abilitate per Software Assurance in Azure. È anche possibile usare le sottoscrizioni Red Hat e SU edizione Standard Linux.

  • Ottenere le prenotazioni di Azure e impegnarsi in piani di un anno o tre anni per più prodotti. I piani di prenotazione offrono sconti per le risorse, che possono ridurre significativamente i costi delle risorse fino al 72% rispetto ai prezzi con pagamento in base al consumo.

  • Ottenere il piano di risparmio di Azure per il calcolo per risparmiare fino al 65% rispetto ai prezzi con pagamento in base al consumo. Scegliere un impegno di un anno o di tre anni che si applica ai servizi di calcolo, indipendentemente dall'area, dalle dimensioni dell'istanza o dal sistema operativo. Scegliere un piano per i componenti di calcolo, ad esempio macchine virtuali, host dedicati, istanze di contenitore, funzioni Premium di Azure e servizi app di Azure. Combinare un piano di risparmio di Azure con le prenotazioni di Azure per ottimizzare i costi di calcolo e la flessibilità.

  • Usare i criteri di Azure per consentire aree, tipi di risorse e SKU di risorse specifici.

  • Usare i criteri basati su regole di Archiviazione di Azure gestione del ciclo di vita per spostare i dati BLOB nei livelli di accesso appropriati o per scadere i dati alla fine del ciclo di vita dei dati.

  • Usare le sottoscrizioni di sviluppo/test di Azure per ottenere uno sconto sull'accesso per selezionare i servizi di Azure per carichi di lavoro non di produzione.

  • Usare il ridimensionamento automatico per allocare e deallocare in modo dinamico le risorse in base alle esigenze di prestazioni, risparmiando così denaro.

  • Usare Azure Spot Macchine virtuali per sfruttare la capacità di calcolo inutilizzata a un costo basso. Spot Macchine virtuali è ideale per i carichi di lavoro che possono gestire interruzioni, ad esempio processi di elaborazione batch, ambienti di sviluppo/test e carichi di lavoro di calcolo di grandi dimensioni.

  • Selezionare i servizi di Azure corretti per ridurre i costi. Alcuni servizi di Azure sono gratuiti per 12 mesi e alcuni sono sempre gratuiti.

  • Selezionare il servizio di calcolo appropriato per l'applicazione per migliorare l'efficienza dei costi. Azure offre diversi modi per ospitare il codice.

Considerazioni sulla gestione delle risorse

  • Determinare se i gruppi di risorse nell'ambiente possono condividere le configurazioni necessarie, un ciclo di vita comune o i vincoli di accesso comuni (ad esempio il controllo degli accessi in base al ruolo) per garantire la coerenza.

  • Scegliere una progettazione di sottoscrizione dell'applicazione o del carico di lavoro appropriata per le esigenze operative.

  • Usare le configurazioni delle risorse standard all'interno dell'organizzazione per garantire una configurazione di base coerente.

Considerazioni sulla sicurezza

  • Applicare strumenti e protezioni nell'ambiente come parte di una baseline di sicurezza.

  • Notificare alle persone appropriate quando si trovano deviazioni.

  • Prendere in considerazione l'uso di Criteri di Azure per applicare strumenti, ad esempio Microsoft Defender per il cloud o protezioni, ad esempio il benchmark della sicurezza cloud Microsoft.

Considerazioni sulla gestione delle identità

  • Determinare chi può accedere ai log di controllo per la gestione delle identità e degli accessi.

  • Notificare agli utenti appropriati quando si verificano eventi di accesso sospetti.

  • Prendere in considerazione l'uso dei report di Microsoft Entra per gestire l'attività.

  • Prendere in considerazione l'invio dei log di Microsoft Entra ID all'area di lavoro log di Monitoraggio di Azure centrale per la piattaforma.

  • Esplorare le funzionalità di governance di Microsoft Entra ID, ad esempio verifiche di accesso e gestione entitlement.

Strumenti non Microsoft

  • Usare AzAdvertizer per ottenere gli aggiornamenti della governance di Azure. Ad esempio, è possibile trovare informazioni dettagliate sulle definizioni dei criteri, le iniziative, gli alias, la sicurezza e i controlli di conformità alle normative nelle definizioni dei ruoli Criteri di Azure o controllo degli accessi in base al ruolo di Azure. È anche possibile ottenere informazioni dettagliate sulle operazioni del provider di risorse, sulle definizioni dei ruoli e sulle azioni dei ruoli Di Microsoft Entra e sulle autorizzazioni api di prima parte.

  • Usare il visualizzatore di governance di Azure per tenere traccia del patrimonio di governance tecnica. È possibile usare la funzionalità di controllo della versione dei criteri per le zone di destinazione di Azure per mantenere aggiornato l'ambiente con lo stato di rilascio più recente dei criteri di destinazione di Azure.

Raccomandazioni per la governance di Azure

Raccomandazioni per l'accelerazione della distribuzione

  • Identificare i tag di Azure necessari e usare la modalità dei criteri di accodamento per applicare l'utilizzo. Per altre informazioni, vedere Definire la strategia di assegnazione di tag.

  • Eseguire il mapping dei requisiti normativi e di conformità alle definizioni di Criteri di Azure e alle assegnazioni di ruoli di Azure.

  • Stabilire Criteri di Azure definizioni nel gruppo di gestione radice di primo livello perché potrebbero essere assegnate a ambiti ereditati.

  • Gestire le assegnazioni di criteri al livello appropriato più alto con esclusioni ai livelli inferiori, se necessario.

  • Usare Criteri di Azure per controllare le registrazioni dei provider di risorse a livello di sottoscrizione o di gruppo di gestione.

  • Usare i criteri predefiniti per ridurre al minimo il sovraccarico operativo.

  • Assegnare il ruolo predefinito Collaboratore criteri risorse in un ambito specifico per abilitare la governance a livello di applicazione.

  • Limitare il numero di assegnazioni di Criteri di Azure nell'ambito del gruppo di gestione radice per evitare di gestire le esclusioni negli ambiti ereditati.

Raccomandazioni per la gestione dei costi

  • Usare Gestione costi per implementare la supervisione finanziaria sulle risorse nell'ambiente in uso.

  • Usare tag, ad esempio il centro di costo o il nome del progetto, per aggiungere i metadati della risorsa. Questo approccio consente di abilitare l'analisi granulare delle spese.

Governance di Azure nell'acceleratore della zona di destinazione di Azure

L'acceleratore di zona di destinazione di Azure offre alle organizzazioni controlli di governance avanzati.

Ad esempio, è possibile implementare:

  • Gerarchia di gruppi di gestione che raggruppa le risorse per funzione o tipo di carico di lavoro. Questo approccio incoraggia la coerenza delle risorse.

  • Un set completo di criteri di Azure che abilita i controlli di governance a livello di gruppo di gestione. Questo approccio consente di verificare che tutte le risorse siano incluse nell'ambito.